NetSky tiếp tục nhân bản

Hôm qua, virus NetSky-V phát tán e-mail mang các đoạn mã trong nội dung thư để thi hành việc download và chạy một file trên máy ở xa. Từ đó, hacker có thể khống chế máy bị nhiễm.

Theo phân tích của các hãng phần mềm an ninh Trend Micro và Sophos, Netsky-V tự động chui vào trong thư mục Windows với cái tên KasperskyAVEng.exe và chèn thêm entry sau đây vào phần registry của hệ thống:

HKLM\Software\Microsoft\Windows\CurrentVersion
\Run\KasperskyAVEng = KasperskyAVEng.exe.

Sau đó, khi người sử dụng truy cập vào hệ thống, virus sẽ tự động kích hoạt. Loại sâu này mở cổng hậu 5557 và 5558 của giao thức TCP của máy bị nhiễm.

Các biện pháp phòng chống vẫn như thường lệ là không nên mở những thư điện tử không rõ người gửi, chủ đề mang nội dung chung chung. Đặc biệt, các tổ chức, cơ quan có hệ thống mail điện tử thì nên phong tỏa, không cho nhận, gửi thư mang file đính kèm có đuôi pif, scr, com và đóng các cổng dịch vụ không cần thiết. Xoá file KasperskyAVEng.exe trong thư mục Windows cũng như entry do virus đưa vào registry nói trên. Sử dụng các chương trình diệt virus mới nhất để quét hệ thống. Một phần mềm quét virus miễn phí được Trend Micro cung cấp tại địa chỉ http://housecall.trendmicro.com/.

Tại Việt Nam, Trung tâm an ninh mạng BKIS lại vừa công bố một biến thể khác từ phiên bản P của họ NetSky. Các chuyên viên tại đây đặt tên cho biến thể này là SkyNet.PN, một virus khai thác những khiếm khuyết trong hai phiên bản 5.01 và 5.5 của trình duyệt web Internet Explorer (Tải bản sửa lỗi bằng cách bấm vào một trong hai tên phiên bản trên).

Theo Nguyễn Tử Quảng, Giám đốc BKIS, trong mấy ngày qua, đặc biệt là ngày 12/4, lượng e-mail mag virus tăng đột biến và nguyên nhân chủ yếu vẫn là một số biến thể của họ NetSky, trong đó có phiên bản T và PN nói trên. Ông Quảng cho rằng số lượng thư tăng bất ngờ có thể là do nguồn phát tán virus đã cập nhật một mailing list mới. Để xử lý virus SkyNet.PN, bạn có thể tải phiên bản BKAV 512 tại đây.

BKAV 512 cập nhật thêm virus W32.SkyNet.PN

Bkav512 cập nhật virus W32.SkyNet.PN. Đây là biến thể mới của virus W32.SkyNet.P.

Để diệt các virus W32.SkyNet.PN, bạn cần thực hiện theo các bước sau:

1. Tải phần mềm Bkav phiên bản Bkav512 về một thư mục trên máy.

2. Nếu bạn dùng Windows Me hoặc XP thì phải tắt chức năng System Restore của hệ điều hành đi.

3. Nếu máy của bạn có cài các chương trình diệt virus khác như NAV, McAffe thì phải tạm thời tắt chức năng tự động bảo vệ (Auto Protect) của các chương trình đó.

4. Chạy Bkav512, chọn quét tất cả các file, tất cả các ổ đĩa.

5. Khởi động lại máy tính để hoàn tất.

6.Cài bản sửa lỗi cho tương ứng Internet Explorer của mình nếu cần thiết (Virus lợi dụng lỗ hổng của IE 5.01 và IE 5.5) tại các link sau: